Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 1 TRABAJO COLABORATIVO I SEGURIDAD EN REDES ING.GILBERT JAIR SANCHEZ TUTORA: ING-ESP. ELEONORA PALTA VELASCO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA CEAD IBAGUÉ 2015 2 2 CONTENIDO 1.INTRODUCCION ........................................................................................................ 3 2.OBJETIVOS ............................................................................................................... 4 3. ANÁLISIS DEL VIDEO SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN ...... 5 4. DISEÑO RED WIFI “AMANECERA Y VEREMOS” ................................................ 10 5. TECNOLOGIAS ....................................................................................................... 15 6. ELEMENTOS DE SEGURIDAD .............................................................................. 16 7. CONCLUSIONES .................................................................................................... 20 8. REFERENCIAS ....................................................................................................... 21 3 3 1. INTRODUCCION El presente documento es una propuesta para la empresa “AMANECERA Y VEREMOS”, sobre el análisis de la seguridad informática que tiene implementada esta organización y que debido a sus vulnerabilidades, ha estado en constante riesgo y en amenaza lo que está permitiendo la afectación del cliente final y el correr del negocio. Por lo cual se hace necesario garantizar la disponibilidad del servicio y la confidencialidad e integridad de la información. Esta empresa cuenta con la siguiente arquitectura: El sistema de la compañía está estructurado como Cliente- Servidor los cuales interactúan por medio de invocaciones remotas a servicios implementados en los servidores de archivos, servidores de Base de Datos, servidores de Aplicaciones, Servidor de dominio, Servidor Web, Servidor de correo, entre otros; por medio de una infraestructura de red que se encuentra en proceso de segmentación lógica y física formada por subsistemas claramente definidas en comunidades, para mejorar el rendimiento de la arquitectura multinivel o cliente/servidor teniendo en cuenta los siguientes puntos de comunicación como: Sus puntos de acceso al servicio se están marcando con la configuración de redes lógicas mediante la creación de VLAN para crear comunidades, con el fin de proporcionar seguridad al usuario en el acceso al servicio. En los puntos de interconexión se encuentran router con redundancia para garantizar la continuidad de las comunicaciones. Los servicios de comunicaciones entre redes se encuentran en diferentes proveedores u operadores de comunicaciones que proveen el servicio con diferentes tecnologías. Los sistemas operativos utilizados en los servidores son: Solaris y Windows server; los computadores de escritorio utilizan una variedad de sistemas operativos en versiones de Windows, como Windows XP, Windows 7 y Windows 8. Además cuenta con software de aplicaciones estándar, de desarrollo propio y desarrollo a medida, entre estos tenemos: Software para el manejo del sistema financiero. Aplicativo para el manejo comercial de la compañía Aplicativos que manejan actividades técnicas y específicas Aplicativo en ambiente web para los cuadros de mando Aplicativo de administración documental Software de Utilidades 4 4 2. OBJETIVOS 2.1. OBJETIVO GENERAL Realizar la propuesta de seguridad en redes mediante las estrategias metodológicas para dar inicio a un diseño de red ideal, bajo las reglas de Seguridad informática que pueda implementar la empresa “AMANECERA Y VEREMOS”. 2.2. OBJETIVOS ESPECIFICOS Establecer políticas de seguridad, que debería implementar en la empresa para todo el personal que en ella labora. Brindar recomendaciones técnicas para todo el personal involucrado en la empresa. Diseñar una de Red que solucione los problemas que afectan a la empresa. 5 5 3. ANÁLISIS DEL VIDEO SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Una vez observado el video se evidencia la ruptura de un sistema de información por el mal uso de los mismos, la tecnología hoy en día nos permite tener acceso a diferentes plataformas las cuales nos permiten agilizar las diferentes actividades cotidianas, tanto en el hogar como en el trabajo, dichos tareas están expuestas a infinitos ataques por medio de virus informáticos que afectan una red en general con el fin de realizar robo de información, por tal motivo se hace necesario adoptar actitudes responsables y políticas de seguridad con el fin de minimizar dichos riesgos informáticos, para realizarlo se debe tener en cuenta las siguientes observaciones: ✓ Pasarela de antivirus y anti-spam. ✓ En las estaciones de trabajo no se está actualizado el software del antivirus. ✓ No se ha creado políticas de seguridad en cuanto al manejo del software y hardware. ✓ No se concienciado al personal frente a la seguridad informática y de la información. ✓ La infraestructura de red se encuentra en proceso de segmentación lógica y física ✓ Insatisfacción del cliente. ✓ El Departamento de Sistemas no tiene el control suficiente de la seguridad informática en la empresa. ✓ La infraestructura de red se encuentra en proceso de segmentación lógica y física ✓ Insatisfacción del cliente ✓ El Departamento de Sistemas no tiene el control suficiente de la seguridad informática en la empresa. 3.1. PROPUESTA PARA MINIMIZAR RIESGOS INFORMÁTICOS a) Soluciones Técnicas para contrarrestar, minimizar o eliminar el problema planteado en el video. Para poder implementar acciones que puedan contrarrestar las fallas de seguridad presentadas, se debe establecer el árbol de estructura organizativa de la empresa, establecer el nivel de importancia de aplicaciones de software dependiendo de su grado de criticidad para la empresa, todo esto para poder crear y establecer políticas que se ajusten a las necesidades de la empresa, para poder instalar y configurar infraestructuras tecnológicas basadas en estas políticas, permitiendo cumplir con los objetivos trazados. Adquirir un sistema de Gestión de Unificada de Amenazas (UTM), un único equipo que incluye múltiples características de seguridad como: cortafuegos, sistemas de detección y prevención de intrusos, pasarelas antivirus y anti-spam y redes privadas virtuales; dicha adquisición es muy útil para centralizar las soluciones. Con este cambio de configuración de la arquitectura de la empresa “AMANECERA Y VEREMOS” cambia y da soluciones a los problemas planteados de la siguiente manera: ✓ Se configura el cortafuego segmentado los servicios de web (correo y pagina web) y la pasarela de antivirus y anti-spam en la zona DMZ con política restrictiva. ✓ Configurar el sistema de detección y prevención de intrusos, tanto para el cliente remoto, la red interna y la zona DMZ, para detectar y prevenir posibles ataques. 6 6 ✓ Colocar los servidores de base de datos y de aplicaciones en la red interna inaccesible de internet. ✓ El punto de acceso al servicio a través de la VLAN (Red de Área Local Virtual). ✓ Un equipo UTM Firewall contiene diferentes funcionalidades, entre las más comunes son el módulo de Firewall, VPN, Antispam, Antiphishing, Antispyware, Email Security, Filtro de contenidos, detención y prevención de intrusos IDS/IPS. ✓ Establecer la zona DMZ donde encontraran los servidores publicados, aplicado reglas de acceso y servicios basados en las políticas de seguridad establecidas. ✓ Configuración adecuada de Routers,ya que son los que tienen contacto directo con una red externa, mediante el uso de reglas ACL (Listas de control de acceso), de tal forma de restringir el flujo de datos mejorando la seguridad en la red. ✓ Diseño e implementación de una red de datos estructurada segmentada física y lógica, donde se crearan redes virtuales (VLAN) por dependencia y / u oficina, lo cual permite tener administración adecuada, permitiendo la aplicación de reglas de seguridad de red por VLAN, encontrar problemas en la red rápidamente, aislamiento de problemas que se puedan presentar sin afectar la prestación del servicio de las otras VLAN. ✓ Configuración de servidores PROXY, definición de reglas ACL para controlar el uso que hacen los usuarios de los servicios de internet. ✓ Implementación antivirus corporativo cuenta con una consola de administración, agente de red y clientes los cuales se instalan en las estaciones de trabajo.El implementar un antivirus corporativo permite tener una administración centralizada, establecer grupos de estaciones de trabajo, establecer y aplicar políticas dependiendo de los grupos y / o servicios , o perfiles, desplegar actualizaciones, realizar escaneo de virus masiva y / o un grupo o estación de trabajo, obtener estadísticas de infección y ataques, actualización de de base de datos de virus constante, ahorro de consumo de ancho de banda ya que es la consola la única encargada de descargar las actualizaciones y luego de distribuirlas, control de número de licencias y soporte sobre virus que no se hayan sido detectados ni publicados. ✓ Hardening y Tuning a los servidores, Realizar Hardening a los sistemas operativos de los servidores, eliminado aplicaciones y servicios innecesarios, eliminado huecos de seguridad, establecer controles de acceso, implementación de firewall local en cada uno de los servidores, implementación de actualizaciones y parches de seguridad. Realizar Tuning permite el afinamiento de los parámetros de comportamiento y configuración para mejorar el rendimiento de los servicios y aplicaciones. ✓ Implementación Directorio Activo que permite establecer grupos de usuario y grupos de equipos para ser administrados de acuerdo la estructura orgánica de la empresa, permite establecer reglas globales, reglas por grupos de usuario, reglas por grupo de equipos y reglas por usuario o equipo, permite desplegar la instalación de software remotamente en uno o muchos equipos al tiempo, controlar el acceso y uso de aplicaciones, acceso a recurso de red y también se puede usar como una base de datos para la autenticación de usuarios en diferentes aplicaciones compatibles con este servicio. ✓ Implementación WSUS (Windows Server Update Servicio) es un servicio para la administración centralizada de las actualizaciones de Windows, permite ahorro en consumo de ancho de banda, ya que es el servidor donde se encuentra instalado 7 7 este servicio el encargado de descargar las actualizaciones y de desplegarlas a las estaciones de trabajo, permite establecer prioridad en el despliegue de actualizaciones crípticas de seguridad. ✓ Aplicación y Control de Políticas: Establecer controles que permitan medir el grado de cumplimiento de la políticas de seguridad establecidas, para encontrar posibles fallas y así realizar mejoras oportunas que ayuden en desarrollo de las actividades y procesos de la empresa. b) Políticas de Seguridad, que se deberían implementar en la empresa para todo el personal que en ella labora. Una política de seguridad deben ser las declaraciones formales de las reglas que debe mejorar e implementar en la empresa “AMANECERA Y VEREMOS” y deben seguir las personas con acceso a los activos de tecnología e información dentro de la misma. Por otro lado los procedimientos deben ser detallados de cómo se implantará cada política. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo y el compromiso de la Directiva en mantener y hacer cumplir dichas políticas. A continuación se relacionan algunas a tener en cuenta: ✓ . Entre las políticas que se pueden implementar están: • Políticas de Correo Electrónico. • Políticas de uso de la estaciones de trabajo. • Políticas de Acceso a aplicaciones. • Políticas de Instalación y Actualización de Software. • Políticas de uso de la redes de datos. • Políticas de uso de Internet. • Políticas de Instalación y cambio de Equipos. • Políticas de Cambio de Hardware. • Políticas de Mantenimiento. • Políticas de Manejo de Antivirus. • Políticas Administración y Gestión de Procesos. • Políticas de Soporte • Políticas de Desarrollo. • Políticas de Backups. • Políticas de Servicios de Outsourcing. Seguridad del personal vinculado a la empresa: ✓ Orientación para los empleados y/o servicios de terceros nuevos: Cuando se contrate a un empleado nuevo y/o el servicio de algún tercero, se debe de entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y los sistemas de información de la empresa. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. El personal de terceros debe recibir una copia del acuerdo de no divulgación firmado por la empresa y por el proveedor de servicios de terceros así como orientación con respecto a su responsabilidad en la confidencialidad de la información de la misma. 8 8 ✓ Capacitación de usuarios: Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información. El programa de concientización en seguridad debe de contener continuas capacitaciones y buscar métodos que continuamente le recuerden al usuario su compromiso con la seguridad informática de la empresa. El usuario debe conocer los siguientes aspectos: • Requerimientos de identificador de usuario y contraseña • Seguridad de PC, incluyendo protección de virus • Guías de acceso a Internet • Guías de uso del correo electrónico, entre otros c) Recomendaciones técnicas que usted por su experiencia o conocimiento acerca del tema estará dispuesto hacer al personal involucrado en el caso. Dentro de las recomendaciones que por nuestro conocimiento podemos sugerir a todos los miembros de la empresa “AMANECERA Y VEREMOS” son las siguientes: Personal TI. ✓ El administrador de red debe tener como prioridad la seguridad de su sistema por lo que debe estar continuo conocimiento e informándose de las nuevas versiones de los productos instalados y de las nuevas amenazas. ✓ Los administradores de red deben periódicamente realizar actualización de parches en los productos instalados Usuarios del sistema. ✓ La seguridad informática no es solo del administrador de la red sino todos los usuarios finales de la empresa por lo tanto debe tener actualizado el antivirus, además existen programas imprescindibles dentro del PC y que deben actualizarse con regularidad. Y revisarse su configuración para evitar fallas de seguridad. ✓ Capacitación continúa sobre los delitos informáticos, los controles y el cumplimiento de la política de seguridad. ✓ Hacer copias de seguridad con frecuencia o backups de los sistemas de la organización ✓ Instalar software legal (se obtiene garantía y soporte). ✓ Usar contraseñas fuertes (evitar nombres, fechas, datos conocidos o deducibles, etc.), para hacer contraseñas fuertes se debe usar números, letras ,símbolos y combinarlos ejemplo: GilBertJ@ir8314# ✓ No descargar o ejecutar ficheros desde sitios sospechosos o procedentes de correos 9 9 que nos conozcamos. ✓ No Utilizar dispositivos externos sin realizar escaneo del antivirus. Alta Dirección ✓ La Directiva debe invertir en la tecnología sugerida si desea contrarrestar los problemas que se le estánpresentando actualmente y que afecta su empresa. ✓ Debe comprometerse con las políticas de seguridad y hacerlas cumplir. ✓ Debe crear un plan de capacitación. ✓ Implementar un modelo de gestión de calidad que le permita llevar un control de todos los procesos y su documentación. 10 10 4. DISEÑO RED WIFI “AMANECERA Y VEREMOS” Las redes WIFI han surgido como solución a las necesidades de movilidad, la demanda de estar conectados, con el aumento de dispositivos móviles como portátiles, tablets, celulares, incluso la mayoría de equipos que hay en las oficinas tiene compatibilidad con redes WIFI, como por ejemplo impresoras, teléfonos, scanner, computadores de escritorio, etc. Los principios básicos que debe cumplir una red WIFI son los de cobertura, intensidad de la señal, disponibilidad y seguridad. Para esto se requiere un análisis de los clientes, requisitos de las aplicaciones usadas y número de clientes, para realizar un uso óptimo de los puntos de acceso. Para empresa Amanecerá y Veremos se propone una red WIFI basados en los diferentes tipos de cliente existentes, segmentación lógica de redes, administración, escalabilidad, frecuencias, canales, cobertura, niveles de señal, velocidades de transferencia de datos, disponibilidad contante de la red, continuidad de servicio y un sistema de autenticación AAA. Los tipos de dispositivos clientes comunes en la empresa Amanecerá y Veremos son TABLA 1 Dispositivo Radio Wifi Potencia de Transmisión Tasa Máxima de Transmisión Teléfonos Móviles Comunes 802.11b/g 11dBm 54 Mbps SmartPhones 802.11n 11dBm 65-72 Mbps Tablets 802.11n 11-14dBm 65-72 Mbps Netbooks 802.11n 11-17dBm 144/300 Mbps PCs de bajo rendimiento 802.11n 17-20dBm 144/300 Mbps PCs de mediano rendimiento 802.11n 17-20dBm 144/300 Mbps PCs de alto rendimiento 802.11n/ac 17-20dBm 216/450 Mbps Teléfonos VoIP comunes 802.11a/b/g 11-16dBm 54 Mbps Teléfonos IPs 802.11n 11-16dBm 65-72 Mbps Tarjetas WIFI PCI alto rendimiento 802.11ac 17-20dBm 600 Mbps La topología WIFI propuesta es un hibrido entre topología con infraestructura donde todas la comunicaciones se centralizan en un punto de acceso y la topología Mesh donde se pueden unir diferentes redes. 11 11 Este tipo de topología hibridad se utiliza para tener un mayor cubrimiento, donde se podrá realizar balanceo de carga entre distintos puntos de acceso (AP), se tendrá continuidad de servicio y disponibilidad de la red en caso de que un punto de acceso quede fuera de servicio los demás puntos cercanos asumirán la carga, aumentando su potencia para realizar el cubrimiento. Se tendrán diferentes SSID, segmentados por VLANS de acuerdo a la infraestructura jerárquica de la empresa, dependiendo de las diferentes dependencias u oficina, para facilitar la administración y aplicación de reglas y políticas de seguridad de red. Para este tipo de topología se requiere equipos de punto de acceso AP de alto rendimiento, con características de hardware sufrientemente robustas y una controladora WIFI que permitirá centralizar la configuración y administración de los puntos de acceso. Características de puntos de acceso AP TABLA 2 Característica Descripción Banda Dual Banda Frecuencias 2.4 Ghz, 5 Ghz Wireless IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE 802.11ac Puerto LAN 1 a 100/1000 Mbps Soporte WDS SI PoE PoE 802.3af integrado Canales RF Ajuste manual y automático Ajuste de Potencia Ajuste manual y automático Seguridad WPA personal/WPA Enterprise WPA2 personal/WPA2 Enterprise Autenticación Usuario 802.1X Filtrado MAC VLANS Múltiples VLANS SSID Múltiples SSID (mínimo 10 por cada banda) Calidad de Servicio (QoS) SI Load Balancín SI AP Clustering SI Características Controladora de WIFI (Wireless Controler). TABLA 3 Característica Descripción Administración Centralizada Numero de AP 100 Descubrimiento AP Automatico Puerto LAN 24 a 100/1000 Mbps 12 12 Puerto FC 4 10000 Mbps Configuración AP Plantilla, Creación de Grupos, Configuración remota PoE PoE 802.3af Canales RF Ajusteautomático Ajuste de Potencia Ajuste automático Seguridad WPA personal/WPA Enterprise WPA2 personal/WPA2 Enterprise Autenticación Usuario 802.1X Filtrado MAC VLANS Múltiples VLANS SSID Múltiples SSID (mínimo 10 por cada banda) Calidad de Servicio (QoS) SI Load Balancín SI AP Clustering SI Cobertura Para calcular la cantidad de puntos de acceso se realiza un estudio de cobertura, de potencia y canales, para evitar traslape de canales, interferencia entre puntos de acceso, soporte cantidad de clientes y eliminación de puntos muertos. El estudio se realiza con el software EKAHAUHEATMAPPER, software Inssider y el software Acrylic, un PC portátil de alto rendimiento y un Smartphone. ➢ Con el estudio de cobertura se debe identificar: ➢ Identificar obstáculos para ajustar los niveles de potencia necesaria. ➢ Identificar áreas de más concentración de clientes. ➢ Determinar la cantidad y ubicación de puntos de acceso. ➢ Determinar el porcentaje de carga para aplicar el balance entre punto de acceso. ➢ Determinar la distribución de canales para evitar traslape de canales y degradación de la red WIFI. 13 13 Fig. 1. Software EKAHAU – Análisis de cobertura Fig. 2. Software Inssider – Análisis de Canales y Frecuencia 14 14 Fig. 3. Software Acrylic – Análisis de Canales y Frecuencia Fig. 4. Diagrama Distribución Red WIFI empresa “AMANECERA Y VEREMOS”. Con el presente diseño de la Red WIFI, se brindará una seguridad óptima para dar solución o minimizar el riesgo de seguridad que presenta la empresa “AMANECERA Y VEREMOS”. 15 15 5. TECNOLOGIAS De manera general se expondrá la vulnerabilidad de las siguientes tecnologías: ✓ Wep: Es la tecnología menos segura y presenta varias vulnerabilidades muy conocidas • No siempre se siguen mejores prácticas para desarrollar en AJAX. • Existen nuevos riegos de fugas de información a través de los feeds de RSS y de blogs. • Existen nuevas formas de inyección código malicioso debido a la utilización de JavaScripts y a que el XML puede contener scripts con funciones. • Los usuarios pueden usar los blogs para insertar código HTML malicioso o insertar archivos con virus o gusanos. • Existe riesgo de explotación de vulnerabilidades por feeds maliciosos. • Existe mayor riesgo de ataques en "zona local" al procesar los feeds de RSS. • Falta de transparencia y desconocimiento de las fuentes reales en mashups y feeds de RSS. ✓ WPA / WPA2 : Es un tecnología que no es tan segura como se creía Mediante un ataque de fuerza bruta sobre la contraseña de WPA-2 y aunque el tiempo requerido para romper el sistema aumenta con la longitud de las contraseñas, es el proceso de autenticación en la configuración inalámbrica el que representa un punto vulnerable para un intruso con las herramientas apropiadas ingrese y logre su objetivo. ✓ 802.1: Este tipo de autentificación proporciona grandes ventajas deseables en redes con un número elevado de usuarios o que requieran un control sobre el uso de estos de la red. Por lo anterior descrito la tecnología que se empleará es la 802.1, por todas sus características favorables frente a las otras tecnologías que son muy vulnerables y son un objetivo fácil para el delincuente cibernético. 16 16 6. ELEMENTOS DE SEGURIDAD 6.1. Cifrado de las comunicaciones Para el cifrado de comunicaciones se tiene en cuenta la tecnología 802.1: Este tipo de autentificación proporciona grandes ventajas deseables en redes con un número elevado de usuarios o que requieran un control sobre el uso de estos de la red.La principal característica es que existe un solo punto donde almacenar todas las credenciales y usuarios y que este sistema será el responsable último de asignar el tipo de acceso de cada uno. Así pues, el servidor RADIUS podrá llevar a cabo labores AAA (Athentication, Authorization and Accounting, o lo que es lo mismo, Autentificación, Autorización y Registro) de forma centralizada lo que facilita el mantenimiento y control de la red y los usuarios. Al disponer de un servidor RADIUS ya no se dispone de una sola clave para garantizar el acceso a cualquier usuario de la red, si no que las credenciales dependerán de cada usuario, lo cual permitirá entre otras cosas llevar un registro de los accesos a la red y la asignación de diferentes privilegios y niveles acceso dependiendo del usuario. Así mismo se incrementa la seguridad del sistema, pues las claves ya no residen el punto de acceso, que es el extremo de la red, si no en un servidor dedicado cuyo nivel de seguridad es mayor. También se solventa el problema de robos de claves o credenciales, puesto que, al ser únicas por cada usuario, la sustracción de una solo será significativa para el usuario afectado, y no para el resto de usuarios de la red. Bastará con cambiar las credenciales de ese usuario o bloquearlo para restablecer la seguridad en la red, sin afectar en el proceso al resto de clientes como ocurre en las arquitecturas de clave única. Las tecnologías WLAN se encuentran definidas por las distintas variaciones del estándar, actualmente se emplean las siguientes tecnologías: 802.11: Define los modos básicos de operación y la especificación de las capas física y de acceso al medio (MAC). Define los modos básicos de operación y la especificación de las capas física y de acceso al medio (MAC). 802.11a: Trabaja con tasas de 6 Mbps a 54 Mbps en condiciones ideales a una frecuencia de 5.8 GHz. 802.11b: Trabaja con tasas hasta de 11 Mbps a una frecuencia de 2.45GHz (definida como frecuencia pública) . 802.11g: Trabaja con tasas de 6 Mbps a 54Mbps pero sobre la banda de los 2.45Ghz. Ofrece mejoras en cuanto a control de interferencia sobre la señal y mecanismos de seguridad. Para llevar a cabo dicha implementación optamos por la opción de tecnología 802.1 en redes inalámbricas que nos brinda las siguientes características: 17 17 Comparación de los enfoques de seguridad de WLAN Característica WLAN 802.1X WEP estática VPN IPsec Autenticación segura (1) Sí No Sí, Pero no en el caso de VPN que utilizan autenticación de clave compartida. Sí, Siempre y cuando se use la autenticación de certificados o de Kerberos. Cifrado de datos seguro Sí No Sí Sí Transparencia en conexión y reconexión a WLAN Sí Sí No Sí Autenticación de usuarios Sí No Sí Sí Autenticación de equipos (2) Sí Sí No Sí Tráfico de difusión y multidifusión protegido Sí Sí Sí No Se requieren dispositivos de red adicionales Servidores RADIUS No Servidores VPN, servidores RADIUS No Garantiza el acceso a la WLAN Sí Sí No No 6.2. Autenticación de acceso a la red “AMANECERA Y VEREMOS” Para la seguridad y autenticación se optó por implementar un Sistema de AAA (Authentication, Authorization and Accounting) el cual permite gestionar las solicitudes de autenticación y autorización mediante el conjunto de protocolos de red 802.1X. 18 18 El software para la implementación es FreeRadius. Freeradius soporta distintos métodos de autenticación tales como MsCHAP, PEAP, TTLS, entre otros. Radius utiliza un Proxy conocido como RadSec (RadiusSecure) que permite, entre otras características, establecer comunicaciones mediante TCP y TLS. En los puntos de acceso se emitirán diferentes SSID (Service Set Identification) según lo establecido anteriormente, conectando al servidor Freradius con el servicio de directorio activo en el cual se encuentran almacenados y ordenados los usuarios por grupos, con políticas de acceso a recurso de red, aplicaciones de software, reglas de calidad de servicio, etc. Fig. 5. Diagrama Autenticación AAA La implementación del sistema de seguridad de autenticación AAA, permitirá tener mayor control sobre los clientes que se conectan a la red, aplicar políticas de seguridad, permite saber quién se conectó desde que punto de acceso y tiempo de conexión. Mediante la siguiente manera: El cliente intenta realizar la autenticación con el servidor RADIUS a través del canal restringido por medio de 802.1X. Como parte de la negociación EAP-TLS, el cliente establece una sesión de seguridad de la capa de transporte (TLS, TransportLayer Security) con el servidor RADIUS. El uso de una sesión de TLS tiene las finalidades siguientes: • Permite al cliente llevar a cabo la autenticación del servidor RADIUS, lo que significa que el cliente solamente establecerá la sesión con un servidor que cuente con un certificado de confianza. 19 19 • Permite al cliente suministrar sus credenciales de certificado al servidor RADIUS. • Protege el intercambio de autenticación frente a intrusiones contra paquetes. • La negociación de la sesión de TLS genera una clave que el cliente y el servidor RADIUS pueden utilizar para establecer claves maestras comunes. Estas claves se usan para derivar las claves utilizadas en el cifrado de tráfico de WLAN. Durante este intercambio, solamente el cliente y el servidor RADIUS pueden ver el tráfico en el túnel de TLS y no queda nunca expuesto al punto de acceso inalámbrico. El servidor RADIUS valida las credenciales de cliente con el directorio. Si la autenticación del cliente se lleva a cabo de forma satisfactoria, el servidor RADIUS reunirá la información que le permitirá decidir si debe autorizarse el uso de la WLAN al cliente. Utiliza información del directorio (por ejemplo, sobre la pertenencia a grupos) y las restricciones definidas en su directiva de acceso (por ejemplo, los períodos de tiempo en que se permite el acceso a la WLAN) para conceder o denegar el acceso del cliente. Seguidamente, el servidor RADIUS transmite la decisión al punto de acceso. Si se concede acceso al cliente, RADIUS transmitirá la clave maestra del cliente al punto de acceso inalámbrico. Con ello, el cliente y el punto de acceso comparten información de clave común que pueden utilizar para cifrar y descifrar el tráfico de WLAN que se desplaza entre El tráfico transmitido entre el cliente y el punto de acceso está cifrado. Si el cliente requiere una dirección IP, puede solicitar una concesión del protocolo de configuración dinámica de host (DHCP) de un servidor en la LAN. Tras la asignación de la dirección IP, el cliente puede empezar a intercambiar información con los sistemas en el resto de la red de forma normal. 20 20 7. CONCLUSIONES ✓ La empresa “AMANECERA Y VEREMOS”, tiene la propuesta del análisis de la seguridad informática que se debe implantar en su organización para solucionar y minimizar las vulnerabilidades, que constantemente colocan en riesgo y en amenaza al cliente final y el correr del negocio. ✓ Implantación de un Sistema de Gestión de la Seguridad de la Información, aplicando la normativa ISO 27001, esta norma ayuda a gestionar y proteger los valiosos activos de información, garantizando la selección de controles de seguridad adecuados y proporcionales. ✓ Se identificaron aspectos generales de la Seguridad en Redes teniendo en cuenta aspectos como: la disponibilidad, el desempeño, la confidencialidad, la integridad y el control de acceso físico y lógico, incluyendo componentes en la red como: Switches, Access Point, Routers, Firewall, IPS/IDS, Gateway y Antivirus. ✓ Aplicamos también conceptos de seguridad perimetral, DMZ, tipologías de red, también mostramos algunos software que nos pueden servir para montar, monitorear y analizarla red y sus componentes. ✓ La empresa ya conoce las políticas de seguridad, que debería implementar para todo el personal que en ella labora, por medio de capacitación e instrucción constante, ya que las amenazas y riesgos en el ámbito de seguridad de la información evolucionan a cada instante. ✓ La empresa debe poner en práctica las recomendaciones técnicas para todo el personal involucrado en la empresa. 21 21 8. REFERENCIAS o Plan de seguridad Informatica, disponible en: o http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/basic/Cordova_RN/Cap6.PDF o Intypedia ,Information Security Enciclopedia, disponible en: o http://www.intypedia.com/ o Leccion 5: seguridad Perimetral, disponible en: o http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005. pdf o Manual de seguridad básico, disponible en: http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/manual_s eguridad_basico.pdf o Elementos a proteger disponible en: http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Elementos _a_proteger.pdf o Vulnerabilidades en una red Wifi, disponible en: o http://rootear.com/seguridad/vulnerabilidades-una-red-wi-fi o Seguridad en aplicaciones Web 2.0,disponible en: o http://www.revistadintel.es/Revista/Numeros/Numero5/Seguridad/polanco.pdf o Seguridad WPA2 en punto de Mira, disponible en:http://tecnologia4all.com/seguridad-wpa-2-en-el-punto-de-mira/1495/ o Seguridad en redes wi-fi,disponible en: o http://recursostic.educacion.es/observatorio/web/en/cajon-de-sastre/38-cajon- de-sastre/961-monografico-redes-wifi?start=7 http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/basic/Cordova_RN/Cap6.PDF http://www.intypedia.com/ http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005.pdf http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia005.pdf http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/manual_seguridad_basico.pdf http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/manual_seguridad_basico.pdf http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Elementos_a_proteger.pdf http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Elementos_a_proteger.pdf http://rootear.com/seguridad/vulnerabilidades-una-red-wi-fi http://www.revistadintel.es/Revista/Numeros/Numero5/Seguridad/polanco.pdf http://tecnologia4all.com/seguridad-wpa-2-en-el-punto-de-mira/1495/ http://recursostic.educacion.es/observatorio/web/en/cajon-de-sastre/38-cajon-de-sastre/961-monografico-redes-wifi?start=7 http://recursostic.educacion.es/observatorio/web/en/cajon-de-sastre/38-cajon-de-sastre/961-monografico-redes-wifi?start=7 22 22 o Diseño implantación y securizacion de servicios WiFi,disponible en: o http://www.rediris.es/cert/doc/reuniones/fs2006/archivo/toniperez_wifi_fs2006.p df o acceso a internet via Wifi-Wimax,disponible en: o http://e-archivo.uc3m.es/bitstream/handle/10016/15906/pfc_mohammed_el- yaagoubi_2012.pdf?sequence=1 o análisis completo monitor redes inalámbricas WiFi ,disponible en: o http://www.redeszone.net/redes/acrylic-wifi/ o Redes inalámbricas para el desarrollo de America latina y el Caribe, disponible en: o http://www.apc.org/es/system/files/APC_RedesInalambricasParaElDesarrolloLA C_20081223.pdf o Aprovecha la potencia de las redes Wi-Fi a 5 GHz y 2,4 GHz simultáneamente, disponible en: o http://www.muycomputer.com/2012/09/26/aprovecha-la-potencia-de-las-redes- wi-fi-a-5-ghz-y-24-ghz-simultaneamente http://www.rediris.es/cert/doc/reuniones/fs2006/archivo/toniperez_wifi_fs2006.pdf http://www.rediris.es/cert/doc/reuniones/fs2006/archivo/toniperez_wifi_fs2006.pdf http://e-archivo.uc3m.es/bitstream/handle/10016/15906/pfc_mohammed_el-yaagoubi_2012.pdf?sequence=1 http://e-archivo.uc3m.es/bitstream/handle/10016/15906/pfc_mohammed_el-yaagoubi_2012.pdf?sequence=1 http://www.redeszone.net/redes/acrylic-wifi/ http://www.apc.org/es/system/files/APC_RedesInalambricasParaElDesarrolloLAC_20081223.pdf http://www.apc.org/es/system/files/APC_RedesInalambricasParaElDesarrolloLAC_20081223.pdf http://www.muycomputer.com/2012/09/26/aprovecha-la-potencia-de-las-redes-wi-fi-a-5-ghz-y-24-ghz-simultaneamente http://www.muycomputer.com/2012/09/26/aprovecha-la-potencia-de-las-redes-wi-fi-a-5-ghz-y-24-ghz-simultaneamente 23 23
Compartir